Sa Python package directory PyPI (Python Package Index)
Ang malisyoso nga code mismo naa sa package nga "jeIlyfish", ug gigamit kini sa package nga "python3-dateutil" ingon usa ka dependency.
Ang mga ngalan gipili base sa walay pagtagad nga tiggamit nga naghimo og typo sa dihang nangita (
Ang jellyfish package naglakip sa code nga nag-download sa usa ka lista sa "hashes" gikan sa usa ka eksternal nga GitLab-based repository. Ang pag-analisar sa lohika alang sa pagtrabaho uban niining mga "hashes" nagpakita nga kini adunay usa ka script nga gi-encode gamit ang base64 function ug gilunsad human sa pag-decode. Ang script nakit-an ang SSH ug GPG nga mga yawe sa sistema, ingon man ang pipila ka mga matang sa mga file gikan sa direktoryo sa balay ug mga kredensyal alang sa mga proyekto sa PyCharm, ug dayon gipadala kini sa usa ka eksternal nga server nga nagdagan sa imprastraktura sa panganod sa DigitalOcean.
Source: opennet.ru